Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

La clave para la seguridad del software: CVSS 4.0 y la gestión de vulnerabilidades

Redazione RHC : 27 julio 2025 09:53

¿Cómo se evalúan las vulnerabilidades de seguridad del software? ¿Es posible determinar su gravedad? ¿Cómo podemos determinar el orden de actualización del código en caso de múltiples vulnerabilidades?

Estas son solo algunas de las preguntas que debería plantearse al gestionar la seguridad de un sistema informático. Una posible solución consiste en una organización llamada FIRST (Forum of Incident Response and Security Teams) y una herramienta conocida por el acrónimo CVSS, o Sistema Común de Puntuación de Vulnerabilidades, ahora en su versión 4.0.

La historia del CVSS

La historia del CVSS se remonta a 2005, cuando, tras aproximadamente dos años de estudio e investigación, el Consejo Asesor Nacional de Infraestructura (NCAI), un organismo asesor del presidente de los Estados Unidos de América, lanzó la versión 1.0. A esta le siguieron la versión 2.0 en 2007 y la 3.0 en 2015. La versión actual, la 4.0, se lanzó el 21 de octubre de 2023.

CVSS es un estándar técnico muy útil, pero como todo, no resuelve todos los problemas. Por ejemplo, no proporciona una medida de la probabilidad de que un atacante explote una vulnerabilidad, ya que no se determina exclusivamente por factores técnicos.

Cómo funciona CVSS 4.0

CVSS consiste en asignar una puntuación de 0 a 10 a cada vulnerabilidad identificada. La puntuación indica la gravedad de la vulnerabilidad, que es mayor cuanto mayor sea la puntuación.

La puntuación se asigna evaluando 30 factores diferentes, que para mayor comodidad y coherencia se agrupan en cuatro categorías: Base, Amenaza, Entorno y Suplementario, que se abrevian como B, T, E y S. Por lo tanto, cuando hablamos de CVSS-B, nos referimos al valor de CVSS calculado utilizando únicamente las métricas Base, y este es el caso en la mayoría de los casos.

La categoría (o métrica) Base contiene a su vez otras dos métricas: Explotabilidad e Impacto. La explotabilidad incluye las métricas que evalúan los requisitos para explotar con éxito la vulnerabilidad. El impacto, por otro lado, incluye métricas útiles para medir el impacto de la vulnerabilidad en cuestión en la tríada CIA (Confidencialidad, Integridad, Disponibilidad).

Como se mencionó, además de las métricas Base, existen otras tres categorías:

  • Amenaza, que incluye únicamente información sobre la madurez del exploit, es decir, la facilidad con la que se puede explotar una vulnerabilidad;
  • Ambiental, que incluye las mismas categorías que la Base, pero se evalúa según el impacto en la empresa o organización;
  • Suplementario, incluye seis categorías: Seguridad, Automatizable, Recuperación, Densidad de Valor, Esfuerzo de Respuesta a Vulnerabilidades, Urgencia del Proveedor.

Naturalmente, CVSS 4.0 tiene muchas otras características interesantes que los más curiosos pueden encontrar en este estudio de Davide Ariu: Acerca del Sistema Común de Puntuación de Vulnerabilidades (CVSS) 4.0

Calcular el valor a partir de una vulnerabilidad conocida es relativamente sencillo utilizando la calculadora en línea, también proporcionada por FIRST. Experimentar permite apreciar realmente el nivel de detalle que ofrece CVSS y comprender en qué medida el valor real depende de las características específicas de la organización en cuestión.

Con lo dicho hasta ahora, solo hemos respondido parcialmente a la primera de las preguntas iniciales: cómo evaluar las vulnerabilidades de seguridad del software. Para intentar responder a las otras dos preguntas, debemos considerar la infraestructura de TI en cuestión, el entorno y los riesgos asociados. Por lo tanto, estas consideraciones son específicas de cada caso y no pueden generalizarse.

Gestión de Vulnerabilidades

A menudo, durante el análisis de vulnerabilidades de un sistema informático corporativo, surgen decenas o cientos de vulnerabilidades, algunas conocidas, la mayoría desconocidas para el equipo de seguridad. Evaluar el riesgo asociado a cada vulnerabilidad individual y priorizar su resolución es una tarea difícil.

También debe tenerse en cuenta que este proceso suele estar fragmentado y se realiza manualmente, ya que no siempre es posible tener todos los datos disponibles y visibles con una sola herramienta, ni es fácil consolidarlos en un único contenedor para su análisis. Un último problema, pero no menos importante, se refiere a su visualización, que a menudo implica la creación de gráficos poco legibles.

También existen varios problemas prácticos relacionados con la identificación y mitigación de vulnerabilidades. En algunos entornos, no es posible ejecutar programas automáticos para analizar los sistemas, lo que requiere búsquedas manuales en dispositivos individuales. Los sistemas corporativos no siempre están actualizados ni admiten los cambios necesarios para mitigar las vulnerabilidades conocidas. En algunos casos, la funcionalidad (léase: operatividad) del sistema podría incluso verse comprometida, lo cual generalmente no es deseable. En definitiva, es necesario encontrar el equilibrio adecuado entre seguridad y operatividad.

En este punto, es importante destacar que también existen métodos para la gestión de vulnerabilidades basados en el riesgo específico al que se enfrenta una empresa u organización. Este enfoque tiene en cuenta la información relacionada con la vulnerabilidad de la parte afectada.

¿Pero qué son las vulnerabilidades y dónde puedo encontrarlas listadas?

Para responder a estas nuevas preguntas, debemos considerar un nuevo acrónimo: CVE, que significa «Vulnerabilidades y Exposiciones Comunes». CVE es simplemente una lista de vulnerabilidades conocidas y es publicada por MITRE.

MITRE también mantiene una lista actualizada de Autoridades de Numeración de CVE (CNA), que son organizaciones autorizadas para asignar un número a una vulnerabilidad y publicarlo según un procedimiento bien definido. Estos CNA generalmente son proveedores de software e investigadores de seguridad, pero cualquiera puede solicitar asignar un número a una nueva vulnerabilidad. Cada CVE consta de un número de identificación, una breve descripción y referencias a los informes de vulnerabilidad.

La lista, en su versión actual, incluye 233.151 elementos diferentes.

Priorización de vulnerabilidades

Si pensaba que lo más difícil ya había pasado, ¡piénselo de nuevo!

Aún no hemos intentado responder a la que quizás sea la pregunta más importante: cómo determinar el orden de actualización del código en caso de una vulnerabilidad. ¿Múltiples?

Priorizar las vulnerabilidades requiere un conocimiento profundo de la organización y asignar un valor de riesgo según el impacto en la actividad principal de la empresa. En última instancia, las vulnerabilidades con una clasificación de riesgo más alta generalmente deberían tener mayor prioridad.

Conclusiones

En este artículo, hemos visto algunos conceptos importantes que corresponden a los acrónimos CVSS y CVE, así como algunos procesos de gestión de seguridad, como la gestión de vulnerabilidades, incluida la gestión de vulnerabilidades específicas para cada riesgo.

Mi objetivo era demostrar la complejidad de estos conceptos y las operaciones que debe realizar el equipo de seguridad informática responsable de gestionar la seguridad de una organización.

Espero He podido ayudar. Tuve éxito.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...

¡La fiebre de la IA llega a Wyoming! Un centro de datos de 10 gigavatios consumirá más electricidad que 600.000 personas.
Di Redazione RHC - 31/07/2025

El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...

El uso de VPN en el Reino Unido aumenta un 1.400% con la nueva Ley de Seguridad en Línea del país.
Di Redazione RHC - 29/07/2025

En todo el Reino Unido, la gente está recurriendo a las redes privadas virtuales (VPN) con bloqueo de ubicación para eludir las nuevas normas nacionales sobre verificación de edad en l&...

¡7000 servidores destruidos! Silent Crow y Cyberpartisans BY devastan Aeroflot en un ciberataque histórico.
Di Luca Stivali - 29/07/2025

Mientras Occidente combate los ataques de ransomware y las empresas privadas invierten en seguridad defensiva, al otro lado del frente digital, la guerra se desarrolla de forma asimétrica. El 28 ...

Objetivo: ¡Tu voz! Scattered Spider ataca VMware ESXi clonando las voces de los empleados.
Di Redazione RHC - 28/07/2025

El grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de tran...